Openssh的服务安全优化

Openssh的服务安全优化

ssh是应用层的安全协议,专为远程登陆会话和其他网络服务提供安全性的协议,利用ssh协议可以有效防止远程管理过程中的信息泄露问题。

连接方式:

ssh username@ip 文本模式的连接
ssh -X username@ip 图形方式的连接

注意:
第一次连接陌生的主机要建立认证的文件,所以会询问是否建立,需要输入yes.再次连接本台主机的时候,因为已经生成~/.ssh/know_hosts文件,所以不需要再次输入yes。

如何实现远程的连接

配置实验的环境
分别配置真机和虚拟机的ip地址

step1 查看真机ip地址

ip addr show br0   ##查看真机ip地址

Openssh的服务安全优化_第1张图片
step2虚拟机中设置ip

nm-connection-editor  ##设置虚拟机ip

Openssh的服务安全优化_第2张图片

详细步骤:Delete(删除原来的网卡)------->>Add(添加新的网卡)—>>Ethernet- - ->>>选择(eth0)- - ->>>IPv4 Settings- - ->>>填写Address(用本机ip的子网)- - ->>>填写Netmask- - ->>>点一下Gateway- - ->>>Save

step3 检测是否连接成功

ping IP		##ip为本机的ip地址

Openssh的服务安全优化_第3张图片

step4 修改主机名

hostnamectl set-hostname client.com 		##修改主机名为node1

step5清空环境

rm -rf /root/.ssh/								##删除root下.ssh文件内容

Openssh的服务安全优化_第4张图片

3.虚拟机硬件出问题时的解决

解决方法
1.切换到超级用户
2.用virt-manager 命令打开虚拟机控制器
3.选择对应的虚拟机
4.点灯泡 删除错误的网卡–>>Add Hardware 添加新的网卡(选择virtio)

注意此方法要在真机下进行操作。
Openssh的服务安全优化_第5张图片

sshd的密钥认证

配置环境
该实验用到了两台虚拟机,分别reset两台虚拟机,然后分别配置两台虚拟机的ip地址

step1 生成认证密钥

ssh-keygen 

注意:按回车直接储存到默认的位置
显示待输入的密钥存放文件,还会显示输入加密密钥的密码(输入的话需要输入大于四位的密码,回车默认无密码)

Openssh的服务安全优化_第6张图片
生成结果
Openssh的服务安全优化_第7张图片
这里的rsa.pub相当于锁,可以用来加密。rsa相当于密钥,拥有密钥的人可以开锁

step2.加密服务

ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]##加密sshd服务

对ip为172.25.254.55的虚拟机进行加密
Openssh的服务安全优化_第8张图片
加密成功的结果
在这里插入图片描述

step3加密后的认证测试

进入server的sshd_config配置文件关闭原始的密码认证方式

vim /etc/ssh/sshd_config  ##打开配置文件,把第78行yes改成no

Openssh的服务安全优化_第9张图片
重启sshd服务

systemctl restart sshd.service			##重启服务的命令

此时,远程登录server主机被拒绝(没有密钥所以被拒绝登录)
Openssh的服务安全优化_第10张图片
将密钥分发给desktop虚拟机
Openssh的服务安全优化_第11张图片
此时可以进行登录
在这里插入图片描述

修改网络的端口

setenforce 0
systemctl stop firewalld ##关闭火墙
netstat -antlupe grep sshd ##查看端口数字
vim /etc/ssh/sshd_config ##打开配置文件(在文件的17行修改端口数字)
systemctl restart sshd.service ##重启服务
netstat -antlupe grep sshd ##查看端口数字

Openssh的服务安全优化_第12张图片
注意:每次更改完配置文件后需要重启sshd服务使它生效。

sshd的安全设定

vim /etc/ssh/sshd_config ##打开配置文件
在该文件中修改:
设定可连接的 ip ListenAddress ip(在文件19行)
超级用户能否登陆 PermitRootLogin yes|no(在文件48行)
黑名单 DenyUsers
白名单 AllowUsers
注意:
1.修改配置文件后,必须用systemctl restart sshd.service重启服务,设定才会生效
2.将该行最前面的#(说明)删除,才能使后面的命令运行

你可能感兴趣的:(Openssh的服务安全优化)